Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 6448 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Uplink Monitoring Action to Enable backup IPSec Tunnel

joel.alfredo
Hello,
We have two Sites with an Internet Connection and a WAN connection each one. Right now, we have there two Cisco ASA FW routing the internal network traffic through the WAN link, and, in case of a WAN failure, a "track" detects that failure, turns off the static route, and the traffic goes to the other site through a S2S IPSec tunnel permanently established. 

Now we want to replace the main office ASA with a Sophos UTM 220, and we have a lab testing this scenario. I have attached a diagram describing this  lab.
We have configured the tunnel and it works fine. We also have configured Uplink balancing using WAN (Internal interface) and External (Internet interface) with Multipath Rules to route traffic to the branch office through the Internal interface (WAN), and Uplink Monitoring to detect WAN failure with an action to enable the S2S tunnel in case of failure.

The uplink monitoring detects when the WAN is OFFLINE, but the configured action does not enable the tunnel. If I manually enable the S2S IPSec tunnel then the traffic goes through the tunnel as it should.

Could you please tell me what I'm doing wrong. 

Thank you very much.

Regards.


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Joel,

    I've been away much of the time over the last six weeks, and just got back to this now.  My first comment was too short.  I meant that I don't see why you would need a separate VPN definition.  Then again, I was assuming that you already have a VPN in place from the UTM to the ASA, but now I see that there's a NAT, making the existence of an IPsec VPN unlikely.

    I suspect you have routing problems since the traffic over the WAN would not appear to pass through the UTM.  Or do all of the devices behind the UTM have 10.0.0.1 as their default gateway?  What happens when you ping and traceroute to 172.23.146.102 from WebAdmin in the UTM?

    Also, I find the use of Interface groups confusing in this situation, and I don't understand what's intended with the existing Multipath rules.  Don't you simply want to configure an alternate way to provide a connection if the WAN goes down?

    Cheers - Bob
Reply
  • 0
    Hi, Joel,

    I've been away much of the time over the last six weeks, and just got back to this now.  My first comment was too short.  I meant that I don't see why you would need a separate VPN definition.  Then again, I was assuming that you already have a VPN in place from the UTM to the ASA, but now I see that there's a NAT, making the existence of an IPsec VPN unlikely.

    I suspect you have routing problems since the traffic over the WAN would not appear to pass through the UTM.  Or do all of the devices behind the UTM have 10.0.0.1 as their default gateway?  What happens when you ping and traceroute to 172.23.146.102 from WebAdmin in the UTM?

    Also, I find the use of Interface groups confusing in this situation, and I don't understand what's intended with the existing Multipath rules.  Don't you simply want to configure an alternate way to provide a connection if the WAN goes down?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hello Bob, first of all, thanks a lot for your time once again. I think I have not been clear enough explaining the scenario. Let see if I can do it now. I will attach an updated diagram to try to clarify some points.

    1. There is no NAT between ASA and UTM. Both of them have public IP addresses (different to the IP addresses shown in the diagram for security reasons).

    2. The VPN S2S is only needed when the WAN fails. I mean, all traffic from the remote Site (JAEN) going to MADRID or the rest of the internet goes through the WAN in normal operation. 

    3. The HSRP routers on Madrid have static routes to JAEN through the WAN. Those routes use "tracks" to disable the route in case the WAN fails.

    4. The UTM has a route to JAEN (configured in the UPLINK interface "Intranet" with multipath rules and the option to "skip rule on interface error") that goes through the HSRP routers. These routes are disabled in case the monitored host fails.  

    5. The UTM has another UPLINK interface to go to the rest of the internet (configured in the UPLINK interface "Internet") It has no the "skip rule on interface error " check mark set.

    6. At the other end (in JAEN), the SW-JAEN1 also has a default route with higher preference through the WAN (next hop 10.0.102.10). This route also has a "track" to detect WAN failures, and, in this case it uses a "backup" default route to the Cisco ASA (10.0.102.233) to send traffic to internet and to MADRID, through the VPN S2S that should be enable in this case.

    Everything is working fine, but the tunnel does not go up in case the Intranet interface goes to error state. 

    I can even enable the tunnel manually, this is the work around in this moment, but we need something similar to the configuration we had (ASA-ASA configuration). They had the tunnel permanently enabled and they control when to redirect traffic to the tunnel with "tracked" routes.

    Thank you very much.

    Best regards.

    Joel